Lo único que hay que tener en cuenta es evitar usar directamente los datos llegados por GET, POST o incluso COOKIE. Estos datos deben ser sólo referencias, especialmente los GET, ya que el usuario tiene total control sobre ellos. Yo tampoco nunca dí por entendido que majony tenía una base de datos, y no es necesario tampoco, ya que hay mil formas de filtrar los datos llegados por la URL.

Sólo como ejemplo, podríamos pasar el nombre real de X archivo por la URL, y en el script verificar que no existan barras /, o que el nombre recibido contenga sólo letras, números y puntos. Es otra forma "segura" de descargar archivos.

Como te dije, hay mil maneras, y una será mejor que la otra dependiendo del contexto en el que se ejecuta el script y de la utilidad que tenga el sistema.